Tailscale selbst gehostet: Maximale Netzwerksicherheit mit Headscale

Show Notes

Willkommen zu einer neuen Deep-Dive-Folge unseres Tech-Podcasts! Heute knöpfen wir uns ein Thema vor, das die Herzen von Sysadmins, Homelab-Enthusiasten, DevOps-Engineers und datenschutzbewussten Techies gleichermaßen höherschlagen lässt. Es geht um das Thema virtuelles Networking, moderne VPN-Architekturen und die Frage: Wie verbinde ich meine Server, Laptops, Smartphones und IoT-Geräte sicher miteinander, ohne meine Metadaten in die Hände eines Drittanbieters zu legen? Die Antwort auf all diese Fragen hat einen Namen: Headscale.

In dieser Episode steigen wir ganz tief in den Kaninchenbau des modernen Networkings ein. Wir sprechen über den phänomenalen Aufstieg von Tailscale, das zugrundeliegende WireGuard-Protokoll und warum das Open-Source-Projekt Headscale die perfekte Antwort für alle ist, die die geniale Usability einer modernen Mesh-VPN-Struktur wollen, aber beim Thema Cloud-Zwang und Datenhoheit keine Kompromisse eingehen möchten. Schnallt euch an, holt euch einen Kaffee – das hier ist das ultimative Headscale-Manifest für eure Ohren!

🧐 WARUM DIESE FOLGE DEIN NETZWERK-DENKEN VERÄNDERN WIRD

Jeder, der schon einmal versucht hat, von unterwegs auf sein heimisches Netz oder auf eine isolierte Cloud-Infrastruktur zuzugreifen, kennt den Schmerz. Früher bedeutete das: Löcher in die Firewall bohren, DynDNS-Dienste konfigurieren und hoffen, dass niemand die offenen Ports scannt. Mit dem Aufkommen von WireGuard wurde zwar die Performance drastisch besser, aber das Schlüsselmanagement bei vielen Geräten blieb ein administrativer Albtraum.

Tailscale hat dieses Problem auf geniale Weise gelöst. Es baut ein sogenanntes Mesh-Netzwerk auf. Das bedeutet, deine Geräte kommunizieren direkt von Punkt zu Punkt miteinander (Peer-to-Peer), anstatt den gesamten Datenverkehr über einen zentralen VPN-Server zu jagen. Das ist extrem schnell, sicher und dank ausgeklügelter Protokolle bricht es selbst durch die restriktivsten Hotel-WLANs oder Mobilfunknetze (NAT-Traversal).

Doch die Steuerzentrale dieses Netzwerks – der Punkt, an dem sich die Geräte anmelden, ihre kryptografischen Schlüssel austauschen und erfahren, welche IP-Adresse die anderen Teilnehmer aktuell haben – liegt bei Tailscale in einer proprietären Cloud. Für viele Unternehmen, die dem Zero-Trust-Prinzip folgen, oder für Privatpersonen, die ihre Daten aus Prinzip selbst verwalten wollen, ist das ein unüberwindbares Hindernis.

Und genau hier schlägt die Stunde von Headscale. Headscale ist eine in Go geschriebene, vollständig quelloffene Implementierung dieses Koordinationsservers. In dieser Folge erklären wir dir Schritt für Schritt, wie Headscale als dein eigener, privater Vermittler fungiert. Deine Daten bleiben verschlüsselt, deine Metadaten verlassen niemals deine eigene Infrastruktur, und du bist zu 100 % unabhängig von Drittanbietern.

🛠️ DIE KEY FACTS & FEATURE-HIGHLIGHTS IM DEEP DIVE

In den Show Notes haben wir für dich die wichtigsten Kernpunkte der Folge noch einmal kompakt zusammengefasst, damit du beim Hören direkt mitlesen kannst:

1. Volle Datenhoheit & Privacy: Headscale speichert die Informationen über deine Geräte, Benutzer, IP-Adressen und Zugriffsrechte auf deiner eigenen Datenbank (SQLite oder PostgreSQL). Es gibt keine Telemetrie an externe Server.
2. Unbegrenzte Freiheit: Während kommerzielle Anbieter ihre kostenlosen Tarife einschränken (z. B. Limits bei der Anzahl der registrierten Geräte oder der Benutzer im Netzwerk), gibt es bei Headscale keine künstlichen Schranken. Du bist der Herr über deine eigene Skalierung.
3. Nahtlose Client-Kompatibilität: Das ist der Clou! Du musst keine modifizierten, instabilen Apps nutzen. Headscale ist vollständig kompatibel mit den offiziellen, hochoptimierten Tailscale-Clients für Windows, macOS, Linux, iOS und Android. Du biegst beim Login einfach die Server-URL auf deine eigene Domain um.
4. MagicDNS & Name Resolution: Headscale bringt einen eigenen kleinen DNS-Server mit. Dadurch musst du dir keine kryptischen IP-Adressen merken, sondern erreichst dein NAS, deinen Webserver oder deinen Gaming-PC einfach über bequeme Namen wie nas.meinnetz.de.
5. Access Control Lists (ACLs): Du willst nicht, dass das Smartphone deines Kumpels Zugriff auf deine privaten Backup-Server hat, obwohl er in deinem Mesh-Netzwerk ist? Über mächtige, deklarative ACL-Dateien im JSON- oder HuJSON-Format definierst du haargenau, wer mit wem worüber sprechen darf.
6. Exit Nodes & Subnet-Routing: Nutze einen Server in deinem Netzwerk als "Ausgangstor" für deinen gesamten Internetverkehr (perfekt für sicheres Surfen in ungeschützten öffentlichen Netzwerken) oder binde ganze lokale Subnetze ein, ohne auf jedem einzelnen Endgerät den Client installieren zu müssen.

⚖️ DER REALITY-CHECK: DIE NETZWERK-WAHRHEIT OHNE SCHÖNRESEREI

Wir wären kein ehrlicher Tech-Podcast, wenn wir das Thema Headscale nur durch die rosarote Brille betrachten würden. Im zweiten Teil der Folge widmen wir uns daher ausführlich den Herausforderungen, die das Self-Hosting eines solchen kritischen Infrastruktur-Dienstes mit sich bringt.

• Die Kommandozeile dominiert: Wer Headscale installiert, bekommt standardmäßig eine reine CLI-Anwendung (Command Line Interface). Das Hinzufügen von Benutzern, das Erstellen von Pre-Auth-Keys und das Verwalten von Routen erfolgt im Terminal. Wir besprechen in der Folge jedoch die besten Web-Oberflächen aus der Community (wie das populäre Headscale-UI), die diesen Nachteil elegant ausgleichen.
• Verfügbarkeit ist deine Pflicht: Wenn der zentrale Koordinationsserver von Headscale offline geht, bricht dein bestehendes Netzwerk zwar nicht sofort zusammen (da die Routen zwischen den Geräten im Cache gehalten werden), aber es können keine neuen Geräte beitreten und IP-Änderungen werden nicht mehr synchronisiert. Du musst dich also selbst um das Monitoring, Backups und eine stabile Internetanbindung deines Headscale-Servers kümmern.
• Die Client-Debatte: Wir diskutieren in der Folge eine philosophische Frage der Open-Source-Welt. Da die offiziellen Benutzeroberflächen von Tailscale (insbesondere auf Apple- und Android-Plattformen) proprietär sind, betreibt man mit Headscale ein komplett freies Backend, nutzt aber teils geschlossene Clients. Wir wägen ab, ob das im Alltag ein echtes Problem darstellt oder ein vertretbarer Kompromiss ist.

🚀 FÜR WEN IST DIESE EPISODE EIN ABSOLUTES MUSS?

• Homelabber & Keks-Nerds: Du hast einen Raspberry Pi, einen alten OptiPlex-Server oder ein Synology-NAS im Keller stehen und willst deine Docker-Container und Dienste sicher von überall auf der Welt administrieren?
• Systemadministratoren & IT-Entscheider: Du suchst nach einer modernen, performanten VPN-Lösung für dein Unternehmen, die die Produktivität der Mitarbeiter im Homeoffice steigert, aber du darfst aus Compliance- oder DSGVO-Gründen keine externen Cloud-Dienste für die Netzwerksteuerung nutzen?
• DevOps & Cloud Engineers: Du musst Multi-Cloud-Umgebungen (z. B. Server bei AWS, Hetzner und Google Cloud) über ein sicheres, performantes und dynamisches Overlay-Netzwerk miteinander verknüpfen, ohne dich in komplexen IPsec-Tunneln zu verlieren?
• Datenschutz-Enthusiasten: Du möchtest einfach die volle Kontrolle über deine digitale Privatsphäre zurückgewinnen und legst Wert darauf, dass niemand Protokoll darüber führt, wann sich dein Smartphone von wo aus mit deinem Heimnetzwerk verbindet.

Transcript

SPEAKER_01 0:00

Willkommen bei Hybrid Systems, dem Podcast, in dem wir KI wirklich bauen.

SPEAKER_00 0:06

Wir arbeiten mit dem Dach-System. Denken, Anwenden, coden und handeln.

SPEAKER_01 0:27

Hallo liebe Zuhörer, willkommen zu Hybrid Systems, einem neuen Episode zum Thema Bereich KI und Infrastruktur. Heute haben wir das Thema mitgebracht Tailscale und Headscale. Und lieber Tim, kannst du uns ein bisschen erklären, worum es darum geht?

SPEAKER_00 0:51

Ja, hallo Klaus. Ja, Tailscale bzw. in unserem Fall tatsächlich Headscale ist so eine Open-Source-Lösung, um einen VPN einzurichten. Das bedeutet, wir können damit kostenlos und im Prinzip haben wir dann auch die vollkommene Kontrolle, weil es über unseren eigenen Server läuft. Können wir einen VPN-Tunnel einrichten, damit wir zum Beispiel gewisse Web-Apps oder Serverapplikationen, die wir nutzen oder auch einfach Zugriffe, die wir realisieren möchten für APIs und so weiter über einen gesicherten VPN nutzen können?

SPEAKER_01 1:31

Ja, Tim, das hört sich spannend an, wenn man sich das Ganze jetzt betrachtet und jetzt komplett neu ist. Wie verwendest du es, beziehungsweise installierst du es erstmal?

SPEAKER_00 1:48

Ja, das kommt auch ein bisschen auf dem Anwendungsfall drauf an. Ich meine, es gibt ja auch relativ günstige Lösungen, die man nutzen kann für seine, sag ich jetzt mal, VPN oder wenn man jetzt ein VPN benötigt, für was macht ein VPN überhaupt Sinn? Das ist immer so die große Frage. Das heißt, wenn ich jetzt privat sage, ich habe zu Hause meine Festplatte, wo ich meine ganzen Bilder habe und ich möchte von unterwegs drauf zugreifen, dann kann ich sozusagen so einen VPN-Schutz hinterlegen, dass ich nur über diese VPN-Verbindung Zugriff auf die Festplatte bekomme. Das erhöht das, beziehungsweise das reduziert eigentlich das Angriffsrisiko, weil man ohne diese VPN-Verbindung eigentlich gar nicht auf den Server kommen sollte. Und das ist halt einfach so der Stand der Technik, das nutzt das ganz moderne Wireguard-Protokoll. Und der Vorteil ist einfach, ohne dass man groß was konfiguriert, tunnelt man sich durch die ganzen Firewalls und jedes Gerät kriegt seine feste IP, die dann auch freigegeben ist. Das ist halt immer so die Sache. Und es gibt aber auch natürlich ein paar Nachteile, die man auch nennen muss. Das sind grundsätzlich, was Tailscale zum Beispiel hat, sind das immer koordinierte Server von einer Firma. Und die ganzen Daten, wenn man jetzt keine eigene Version nimmt, also die ganzen Metadaten von den Geräten, also welche Geräte existieren, die liegen dann natürlich in der Cloud. Und das ist dann wieder so eine Sache, wenn es jetzt um Datenschutz oder zum Beispiel Wennorin geht, da hat man dann wieder ein bisschen ein Problem. Und deswegen kommt dann auch Headscale ins Spiel, weil das halt die Open-Source-Antwort darauf ist. Das heißt, diesen ganzen Datenschutzthema oder die ganze Datenschutzproblematik, die habe ich dann, wenn ich das Open Source mache, nicht mehr. Also ich habe nicht mehr die Problematik, dass meine Metadaten von meinen Geräten, welche Geräte existieren, in irgendeiner fremden Cloud sitzen, was als Unternehmen natürlich nicht gewollt ist und auch privat natürlich nicht gewollt ist.

SPEAKER_01 3:58

Wenn man jetzt die Installation betrachtet, das heißt, du benutzt den normalen Tailscale-Client auf jedem Rechner und benutzt aber Headscale auf deinem dedizierten Server, wie zum Beispiel ein Hetzner-Server. Ist das korrekt, der es macht, Tim?

SPEAKER_00 4:19

Genau, das ist richtig. Ich meine, es gibt auch andere Möglichkeiten, wie man das Ganze einrichten kann. Da ist halt natürlich wichtig, wenn ich das im privaten Umfeld mache, muss ich immer überlegen, okay, macht das Ganze wirklich auch Sinn? Aber grundsätzlich als Firma läuft es so ab. Wir installieren Headscale, richten das komplett ein und machen das dann eigentlich so, dass du zum Beispiel auf den Geräten dann eine VPN-App installierst. Das muss nicht unbedingt Hellscale sein, es bietet sich natürlich an, aber es gibt natürlich ganz viele andere Apps, über die du dich anmelden kannst. Da spielt in dem Moment auch gar keine große Rolle, welche du nimmst. Aber gerade jetzt zum Beispiel beim Endgerät, wenn es ein Handy ist, dann ist tatsächlich das über Tailscate zum Beispiel, wenn man das über die App löst, am einfachsten.

SPEAKER_01 5:15

Du hattest es gerade nochmal angedeutet in Bezug auf das berufliche VPN, dieses Netzwerk, dieses Mesh-VPN, wie man es ja auch anders benennt oder so. Für welche Zwecke benutzt du es im beruflichen und gerade in Bezug auch auf KI-bezogene Systeme untereinander? Schottest du da jegliches System mit ab gegenüber der Umwelt und gibst nur einem Server den Zugriff, dann von außen quasi irgendwelche Informationen zu bekommen, außerhalb des Tailscale oder Headscale-Servers oder wie funktioniert das bei dir?

SPEAKER_00 5:58

Ja, das ist eine sehr gute Frage. Also die ganzen Apps, die wir zum Beispiel selber installieren, wie jetzt zum Beispiel Zamat oder CRM-Programme, die wir als Open-Source-Lösung haben, wo wir dann eine Subdomain haben, da wird es dann auch eigentlich immer so eingerichtet, dass die nur über die VPN erreichbar sind. Das heißt, Außenstehende oder Fremde können auf die Domain oder auf den Server im Prinzip nicht zugreifen. Das ist zum Beispiel auch ein sehr, sehr wichtiger Punkt. Und gleichzeitig natürlich auch, wenn wir jetzt zum Beispiel gewisse Geräte einrichten, gerade jetzt zum Beispiel im Unternehmen, will ich ja auch, dass der Abruf meiner E-Mail oder der Zugriff auf meine Programme nur über meine Geräte, die mit dem VPN verbunden sind, möglich sind. Das hat folgende Vorteile. Ich habe nicht mehr das Problem, beispielsweise bei E-Mail, wenn ich jetzt zum Beispiel sowas wie Google Workspace oder wie Microsoft 365 nutze, besteht die Möglichkeit, und da gibt es tatsächlich auch Hintertürchen, die offen sind oder offen waren. Es gab zum Beispiel Phishing-E-Mails, wo man sich, wo man eine sehr originalgetreue E-Mail bekommen hat, die sehr nach Microsoft aussah, wo man dann zu OneNote weitergeleitet wurde, man online seine Daten eingegeben hat und da dann auch die Zwei-Faktor-Authentifizierung nicht mehr wirklich gewirkt hat. Also da haben dann Hacker sich relativ einfach Zugriff vermachen können auf das komplette E-Mail-Postfach. Und das ist natürlich ein hohes Risiko. Also das muss man sich wirklich auch bewusst sein. Ich meine, man kann das auch einstellen, dass man zum Beispiel sagt, okay, Drittländer außerhalb der EU haben überhaupt keine Möglichkeit, sich einzuloggen. Wenn ich jetzt international tätig bin, ist das wieder schwierig. Und wir haben auch schon die Erfahrung gemacht, dass Phishing-Attacken teilweise auch schon aus EU-Ländern passieren, beispielsweise Italien oder Spanien. Dass man versucht, sich aus diesen Ländern, ob die das jetzt lokal von dort aus machen oder über eine VPN-Verbindung, das weiß ich nicht, aber die versuchen es von dort aus, sich mit unserem Server oder mit unserem E-Mail-Account von Microsoft zum Beispiel zu verbinden. Und das ist natürlich ein Sicherheitsrisiko. Und für all diese Zwecke kann man eine VPN, in dem Fall ja Headscale, nutzen, um sich da nochmal abzusichern, damit man da vor Angriffen geschützt ist und auch gleichzeitig einfach vor diesem unbefugten Zutritt auf meine IT, auf meine Infrastruktur und auf meine Daten insbesondere.

SPEAKER_01 8:41

Ja, spannendes Thema mit dem Thema VPN, Headscale, Tailscale. Wie bist du damals drauf gekommen, als du erst einmal das eingerichtet hast? Was waren die Beweggründe, dass man keinen anderen VPN-Zugang verwendet hat?

SPEAKER_00 8:57

Naja, das ist relativ einfach. Ich meine, für mich ist immer ganz wichtig, es kommt immer auf den Anwendungsfeld auf an. Und in dem Moment war halt wirklich so dieses Thema Open Source sehr, sehr wichtig. Und natürlich auch, dass ich keine Beschränkungen habe. Also die Anzahl der Geräte, die Anzahl der Benutzer, das soll nicht beschränkt werden. Das ist meistens bei kostenpflichtigen Produkten natürlich so, dass ich da wirklich Beschränkungen habe. Und natürlich auch die Kompatibilität. Das heißt, ich will ja auch vom Handy, vom Laptop oder vom Server in den offiziellen Tailscale-Apps im Prinzip Zugriff über diese Server-URL auf meine Headscale-VPN bekommen. Das ist was ganz Wichtiges für mich. Und dann natürlich auch die Thematik. Das ist, wie gesagt, einfach so das VPN-Produkt, was halt alle nutzen. Das ist das am meisten bekannteste und auch meiner Meinung nach das am besten funktionierendste. Man muss sich aber auch klar sein, man gibt sozusagen oder man nimmt die Verantwortung selber an. Also wenn ich das jetzt selber hoste, dann muss ich auch gucken, dass das immer funktioniert. Weil sobald dieser Server mal offline ist, dann können sich die Geräte untereinander nicht mehr finden, dann gibt es auch keine Neuverbindung mehr. Und dann ist man selber in der Verantwortung als Administrator, sich da darum zu kümmern, dass das wieder läuft. Also man kann da auch Gefahr laufen, dass es Probleme gibt, dass Geräte rausfliegen, warum auch immer. Und das muss einem bewusst sein, weil am Ende des Tages ist das einfach auch ein administrativer Aufwand. Genauso wie bei allen anderen Produkten, die wir vorstellen oder über die wir sprechen, ist es sehr viel Open Source, finde ich super. Nutzen wir auch sehr, sehr viel. Aber muss ich immer im Klaren sein, macht das für meinen Anwendungsfall Sinn, ja oder nein? Oder macht es vielleicht doch Sinn zu sagen, ich nehme ein bisschen Geld in die Hand und nehme jetzt hier beispielsweise einfach ein kostenpflichtiges Produkt, weil der Aufwand sich nicht widerspiegelt. Das ist ein sehr, sehr wichtiger Punkt. Man braucht das Rad nicht immer neu erfinden und das muss einem wirklich klar sein.

SPEAKER_01 11:10

Und wenn man sich das Ganze nochmal betrachtet, kann man ja auch wie folgt anfangen. Es gibt eine kostenlose Version von Tailscale.com. Das heißt, man könnte eigentlich anfangen mit dem Server bei Tailscale selber, könnte bestimmte Systeme erstmal darüber laufen lassen. Und wenn man sich sicher ist, dass man es doch lieber bei sich haben möchte, kann man ja umschwenken und direkt auf Headscale haben. Die Clients sind ja dieselben, man muss sich nur nochmal einmal neu einrichten auf den Headscale-Server und dann funktioniert das auch. Oder siehst du das anders, Dennis?

SPEAKER_00 11:49

Nein, Klaus, das ist absolut richtig. Also die Möglichkeit besteht und das ist genau das, was ich auch sage. Testen ja, auf jeden Fall. Ausprobieren. Man sollte sich da wirklich auch offen drüber aufstellen und einfach auch mal gewisse Dinge testen. Ich meine, der Setup-Aufwand ist jetzt auch nicht extrem. Also, das funktioniert eigentlich auf jedem Hetzner-Server oder auch auf jedem anderen, aber wir nutzen einfach nur Hetzner, weil einfach das ist halt das, womit wir am besten fahren. Das ist ein deutscher Anbieter. So, fertig, gibt es nichts anderes, was in Frage kommt. Aber ja, grundsätzlich einfach testen. Setup-Aufwand ist meiner Meinung nach vielleicht eine halbe Stunde oder eine Stunde maximal, wenn ich das noch nie gemacht habe. Es ist relativ einfach. Aber wie du es gesagt hast, man kann auch Tailscale nutzen. Das kommt einfach immer drauf an, was man will, was man braucht. Da muss jeder so seine eigene Lösung finden. Brauche ich das für mich privat? Brauche ich das als Unternehmen? Ich meine, wenn man es privat braucht, kann man sich auch überlegen, es gibt da auch teilweise schon Produkte, die für ein Jahr kostenlos sind, teilweise oder komplett kostenlos sind, dass ich einfach ein VPN habe. Da muss man sich halt im Vorfeld informieren, okay, welche Daten nutzt diese App von mir, was können die alle sehen und was ist da alles so, ja, was kann da alles so ein Problem sein, was Datenschutz zum Beispiel angeht. Das muss man sich im Vorfeld, darüber muss man sich im Vorfeld informieren, aber ansonsten sollte das eigentlich kein Thema sein.

SPEAKER_01 13:28

Ja, Tim, ich denke mal, wir haben einen wunderbaren Überblick über ein sehr aktiv genutztes System für VPN gerade beschrieben. Und ich danke dir für diese ausführlichen Auskünfte und wünsche unseren Zuhörern noch einen schönen Tag und bis zum nächsten Mal.